Un nuovo malware, precedentemente non documentato ma attivo dal 2019, denominato CopperStealer, ha rubato password e cookie compromettendo account di grandi aziende attivi su Facebook, Apple, Amazon e Google, consentendo poi ai suoi creatori di riutilizzarli per attività criminali informatiche, in particolare per distribuire annunci dannosi e fornire ulteriore malware in successive campagne di malvertising.
CopperStealer viene distribuito tramite falsi siti di cracking del software e note piattaforme di distribuzione malware come keygenninja[.]com, piratewares[.]com, startcrack[.]com e crackheap[.]net. Oltre a “crack”, “codici seriali” e “keygen” usati dai cyber criminali per aggirare le restrizioni d’uso di software a pagamento, questi siti distribuiscono anche programmi e applicazioni potenzialmente indesiderati (PUP/PUA) o eseguibili dannosi in grado di installare e scaricare payload aggiuntivi.
CopperStealer, inoltre, integra a sua volta una funzione di downloader che consente ai suoi operatori di fornire ulteriori payload dannosi ai dispositivi infetti.
Indice degli argomenti
Tutti i dettagli di CopperStealer
Sebbene non particolarmente sofisticato, il malware CopperStealer è particolarmente insidioso visto il target a cui si rivolge.
Scoperto dai ricercatori Brandon Murphy, Dennis Schwarz e Jack Mott del team di ricerca sulle minacce di Proofpoint, CopperStealer prende principalmente di mira gli account business su Facebook e Instagram, oltre a quelli degli inserzionisti attivi sulle due piattaforme social.
Durante le loro analisi, però, i ricercatori hanno identificato anche altre varianti del malware in grado di colpire altre importanti piattaforme, tra cui Apple, Amazon, Bing, Google, PayPal, Tumblr e Twitter.
Come funziona il malware
CopperStealer può dunque essere classificato come un password stealer in grado di esfiltrare le credenziali di accesso degli utenti memorizzate nei browser Google Chrome, Edge, Firefox, Yandex e Opera.
Inoltre, è in grado di rubare anche i cookie di navigazione memorizzati nei browser e, tramite questi, riesce a recuperare anche il token di accesso a Facebook per raccogliere informazioni aggiuntive, tra cui la lista di amici della vittima, informazioni sugli account pubblicitari e l’elenco di pagine Facebook seguite.
Nei suoi attacchi, CopperStealer recupera una configurazione di download dal server C2 che consente al malware di estrarre un archivio chiamato “xldl.dat”, che sembra essere un gestore di download legittimo chiamato Xunlei e distribuito da Xunlei Networking Technologies Ltd.. CopperStealer, quindi, utilizza un’API esposta dall’applicazione Xunlei per scaricare la configurazione per il binario di follow-up.
Queste particolari caratteristiche malevoli rendono CopperStealer molto simile a SilentFade, un altro malware progettato per rubare i cookie del browser e diffondere annunci dannosi attraverso account Facebook compromessi, causando danni per un importo stimato di circa 4 milioni di dollari.
Soluzioni di mitigazione del rischio
La diffusione di CopperStealer consente ai criminal hacker e ai truffatori di condurre attacchi di impersonificazione e portare a termine frodi mirate al furto di identità.
Il consiglio per tutti gli utenti è quindi quello di attivare, se disponibile, l’autenticazione a due fattori su tutti i propri account social e sui vari servizi online.
Una risorsa aggiuntiva per sapere se il proprio account è stato compromesso è il sito Have i been pwned: è sufficiente inserire l’indirizzo di posta elettronica nell’apposito campo di testo e verificare se la stessa è presente in database illegali.
Allo stesso modo, collegandosi a questo link è invece possibile controllare se anche la password del proprio account risulta già essere presente in database illegali.
